WordPress installeert geforceerd beveiligingsupdate voor Jetpack-plug-in

Ontwikkelaar Automattic rolt geforceerd een beveiligingsupdate uit voor WordPress-plug-in Jetpack om een kwetsbaarheid in de carrouselfunctie op te lossen. Het is niet duidelijk om wat voor een kwetsbaarheid het gaat.

De kwetsbaarheid werd ontdekt in de carrouselfunctie van de plug-in volgens Bleeping Computer. Verder specificeert de ontwikkelaar niet om wat voor een kwetsbaarheid het gaat en wat de risico's van het beveiligingslek zijn. Voor zover bekend is de kwetsbaarheid niet misbruikt.

Automattic installeert de patch op ruim vijf miljoen WordPress-sites. Het gaat om alle WordPress-sites waarop Jetpack 2.0 of een latere versie is geïnstalleerd. De update wordt automatisch geïnstalleerd.

Het is niet de eerste keer dat WordPress van de mogelijkheid gebruikmaakt om een update geforceerd te installeren. Het securityteam van het contentmanagementsysteem heeft al meerdere malen updates automatisch geïnstalleerd om beveiligingslekken te dichten.

In de patchnotes van de Jetpack-update staat een actuele lijst met bijgewerkte versies van de plug-in.

Door Robert Zomers

Redacteur

04-06-2021 • 17:42

31 Linkedin

Submitter: TheVivaldi

Reacties (31)

31
31
16
5
0
9
Wijzig sortering
Goede zaak dat ze dit doen i.g.v security patches :)
Ik ben benieuwd hoe dat in elkaar zit, ga voor de lol eens de broncode induiken. :) Remote updates zonder user-interactie vind ik altijd wat eng/tricky. Als er iets gecompromitteerd wordt kan je in theorie tig sites op afstand infecteren. :P (Zoiets ooit gezien toen een GitHub-repo van MyBB werd gehackt.) Heel benieuwd hoe WordPress dit afhandelt en wat voor waarborgen er zijn. :)
Paragon heeft hier een uitgebreid artikel over geschreven.
https://paragonie.com/blo...pdates-for-php-developers

Overigens kan je op deze website ook meer informatie vinden over cryptografie en hoe je deze het beste toe kan te passen.

Disclaimer: Paragon Initiative Enterprises, LLC is een gerenommeerd software beveiligingsbedrijf, de auteur is een gecertificeerd cryptograaf.
Ik denk dat het met deze commit te maken heeft:

https://github.com/Automa...bd0c50fdbccb84baae97c8a1d

Als ik in de nieuw toegevoegde code kijk staat er deze comment:

[quote]
// Can't just send the results, they contain the commenter's email address.
[/quote]

Ik ga gokken dat je met oudere versies het email adres van commenters kon ophalen :).


Nee, dat is onzin. Die code was er al. Maar er is wel een hoop aan authorisatiechecks toegevoegd. Dus blijkbaar kon je iets inzien wat niet zou mogen.

[Reactie gewijzigd door Slurpgeit op 4 juni 2021 18:45]

Wat ik begrijp kon je via een AJAX-request als niet-ingelogde gebruiker gegevens over iedere reactie opvragen die je maar wilde. Nu moet je al ingelogd zijn en een 'capability' van 'read_posts' hebben. Het is nu ook beperkt tot reacties die bij een 'attachment' post horen, dus een post in de database die bij het media-bestand hoort in plaats van ieder soort bericht.

Correctie, eerder zat ik meer mis :). Het gaat om meerdere reacties, niet een enkele reactie. Dan kreeg je inderdaad alle gegevens van een reactie te zien die bij een bericht, pagina of attachment horen, ook wanneer het bijbehorende bericht of pagina niet meer gepubliceerd is.
En ja, niet het emailadres kon je uitlezen, maar wel de avatar. Daar is vast ook wel 'big data' van te maken en mogelijk te herleiden tot een echt emailadres. Dit gaat om een avatar van de gravatar.com-dienst.
Voel je uitgenodigd om me aan te vullen of te corrigeren.
De mensen van WordFence gaan er volgende week vast iets over schrijven.

Oh ja, wat ik niet begrijp, volgens mij wordt er gecontroleerd op de 'current_user', dus of je ingelogd bent. Ben je niet ingelogd dan mag je niks uitlezen. Maar alsnog is de hook/action blijven staan voor niet-ingelogde gebruikers, de zogenaamde 'nopriv' hook. Blijkbaar is dit een rafeltje draad dat nog opgeschoond moet worden, het is verder geen probleem.

Er is trouwens wel discussie over dit soort versnelde updates in de WordPress-community. Niet iedereen vindt dit even prettig. De twijfel bestaat hoe goed de achterliggende infrastructuur is. Zolang er geen ondertekening vereist is voor zip-bestanden is het een lastig verhaal, gelukkig wordt daar aan gewerkt. Maar ook dan blijven er terechte zorgen.

Verder lijken de meningen over Jetpack nogal zwart/wit te liggen :) De ene helft vind het geweldig; een enkele plugin voor 25 dingen tegelijk. Zelf blijf ik ver weg van een 25-in-1 plugin.

[Reactie gewijzigd door mpol op 4 juni 2021 20:01]

Is het toeval dat in de historie van SQL injecties en RCE's een informatie lekje het eerste is waar ze dit voor toepassen?
Ja, er moet wel iets zijn dat serieus genoeg is.

De mensen van WordFence hadden gisteravond al een podcast. Er is ook een transcriptie om even vlug over enkel dit onderwerp te lezen.
https://www.wordfence.com/blog/2021/06/episode-120-jetpack-autoupdate-security-patch-bypasses-local-settings/

Wat hun betreft is de ernst van dit datalek niet erg heftig en roept het ook vragen op of er niet sprake gaat zijn van een glijdende schaal met geforceerde updates.

Naast dat Automattic een grote partij is die veel in de melk te brokkelen heeft zal er ook meespelen dat de plugin op 5 miljoen websites geactiveerd is. Al weten ze dan vast niet of de carousel ook geactiveerd is, en weet ik niet of bij niet-gebruik van de carousel het AJAX-request ook gedaan kan worden.
Toen wij een security issue hadden met onze plugin (meer dan 1,5 miljoen keer gedownload) was dit allemaal niet mogelijk. Geforceerd patchen..? Wat een rare vraag.
Ja, het plugin team is er heel terughoudend in.
Maar ja, dit is het grote Automattic, dan kan alles. Ik heb de indruk dat dit vaker speelt, grote partijen mogen meer.
Ook de drie keer dat Yoast SEO advertenties over het hele dashboard toonde, dat kon allemaal. En ja, de laatste keer met een knipperend gele banner op iedere pagina van het dashboard, en geen woord uit het plugin team.
Yoast borduurt zijn hele succes op het feit dat wordpress geen native title / description en toestanden heeft. Ik vindt het werkelijk waar een kut plugin en het krijgt nog vaker updates (nutteloos vaak) dan dat ik naar het toilet kan.
Ik ben zelf uiteindelijk overgestapt naar SEOpress. Kost een paar tientjes per jaar voor pro, maar wel voor een onbeperkt aantal sites.
Ik gebruik dan weer graag The SEO Framework:
https://wordpress.org/plugins/autodescription/

Voor gegevens overzetten gebruikte in een import/export plugin voor SEO:
https://wordpress.org/plugins/seo-data-transporter/
Ik heb een plugin die alle ads van andere plugins blokkeert. Ja, ads zijn wel irritant maar aan de andere kant heb ik wel helemaal gratis een perfect functionerende website met alle functies die ik wil (waaronder seo optimalisatie van Yoast). Ik zou overigens niet weten of er ook werkelijk een regel is tegen het plaatsen van ads op het dashboard.
Hoe noemt deze plugin? Klinkt interessant!
Ja, daar zijn regels voor. Of ze nagevolgd worden... nee, niet echt. De plugin team werkt uiterst bureaucratisch, willekeurig, en met nepotisme --- ze zijn afwachtend op (overweldigende) feedback van de community, maar anders stagnant.
Nou, succea daarmee dan. Op onze instances heeft WP helemaal geen schrijfrechten op z’n plugin directory (standaard setup in de Ubuntu packages). Ik ken deze plugin verder niet, dus het gaat me ook niet aan waarom ze het doen, maar niks kunnen schrijven lijkt me altijd nog veiliger dan autoupdates. Dan kan een hacker ook geen kwaadaardige code installeren.
In dit geval lijkt het te gaan om reacties die iedere bezoeker kon uitlezen, ook bij posts die niet op gepubliceerd stonden.
Niet enkel inbreken kan kwaadaardig zijn, ook van alles zomaar uit kunnen lezen kan ongewenst zijn.
Tis alleen als je de plugin hebt. En auto-update valt uit te zetten in relatie tot security patches. Het is niet aanbevolen.
Tja, als men via de database HTML in je site kan injecteren ben je natuurlijk net zo goed het bokje. Ik vraag me af of de voordelen bij WordPress van readonly maken opwegen tegen het sneller bijgewerkt hebben van de software. Overigens zal het gebruik van een betaalde Wordfence meer uitmaken vermoed ik.
Als ik op mijn Gentoo-server Wordpress wil installeren krijg ik de volgende melding:
!!!!!!!!! SECURITY WARNING !!!!!!!!!!!

Wordpress has had a history of serious security flaws. Any application
with less widespread use but the same amount of security issues would
have been removed from the tree.

After a short period of being in the unstable tree we once again decided
that we hard mask the package.

THIS MEANS THAT THERE IS NO GUARANTEE WHATSOEVER THAT THE PACKAGE WILL
GET UPGRADED WITHIN A REASONABLE AMOUNT OF TIME EVEN IN THE CASE OF
SEVERE SECURITY ISSUES.

We consider installing this package a severe risk to your system and
you should keep a close eye on the common security trackers so
that you are able to fix problems with your installation yourself if
required.
En dan hebben we het nog niet over de plugin's die door Jan en alleman kunnen zijn geschreven. Ik begrijp het niet zo goed. Wordpress is toch niet ZO veel gebruikersvriendelijker dan andere blogsystemen?
Nee, maar het heeft nu wel het uitgebreidste eco-systeem aan plugins, themes, developers en resources. Er zijn denk ik echt 10.000-en cms'en waarvan er vast vele beter zijn, maar een nieuwe 'standaard' in Blog-land gaat er voorlopig niet komen vrees ik.
WordPress als package installeren is sowieso redelijk kansloos. De versies volgen elkaar zo snel op dat je dat niet kunt bijhouden als package maintainer. Bovendien heeft het hele 'nieuwe' automatische update systeem dan weinig zin.
typ foutje? : De update wordt automatisch geïnstalleerd, zonder dat gebruikers iets hoeven doen
De update wordt automatisch geïnstalleerd, zonder dat gebruikers Niets hoeven doen
Hoort inderdaad in dat topic, maar "zonder .. iets" is gewoon correct.
Als er onder (of naast) het artikel geen direct link is naar het forum voor spel- en tikfoutjes, dan is het logisch dat het melden van taalfouten bij de reacties terecht komt.

Nu staat er enkel "Wat vind je van dit artikel? Geef je mening in het Geachte Redactie-forum." Toegegeven, de topic voor spel- en tikfoutjes staat bovenaan de lijst, maar een directe link is handiger. Schrijf iets als "Wat vind je van dit artikel? Geef je mening op het Geachte Redactie-forum. Taalfouten? Meld ze op het Spel- en tikfoutjesforum."
Rechts naast het artikel staat een link naar dat forum. "Feedback" heet die knop.

EDIT: Typo

[Reactie gewijzigd door donleo123 op 4 juni 2021 18:58]

Of op mobiel tussen de titel en het artikel. In ieder geval bij het stukje over de auteur.
Wel goed dat ze dit geforceerd doen zodat er beveiligingslekken worden gedicht. Wel hoop ik dat door die update geen andere functies breken.
Wordpress is goedkoop om op te zetten en te onderhouden. Maar omdat het zo breed gebruikt wordt is het meteen interessant voor kwaadwillende. Het niet online maken van de beheerders pagina is wel het minste wat ze kunnen doen.

Ik vind dat www.freedom.nl het wel grappig heeft gedaan. Moet je maar naar www.freedom.nl/wp-admin gaan :*)

[Reactie gewijzigd door egelalexander op 9 juni 2021 09:42]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee